Hace pocos dias una directora de equipo me pregunto por configurar sus equipos pero sin substraerles los derechos administrativos, puesto que ellos querían instalarse sus programas.
La pregunta me perturbó puestro que tuve que argumentar pros y contras, y aun más convencerme a mi mismo y establecer parámetros.
Porque habría de querer el usuario instalarse programas?
pues porque lo necesita, es decir, necesita el programa.
Pero si lo necesita porque no puede pedir al administrador que se lo instale?
Pues porque no sabe que lo necesita, es decir, el usuario quiere tener el poder de instalar cualquier cosa en cualquier momento pero no sabe qué.
Para esta actitud reaccionaria (que sólo reacciona ante la necesidad sin planificar) se pueden encontrar contras:
- es conocido que existen spamers y sitios web que ofrecen algun archivo que en un momento el usuario puede necesitar o necesitar abrir: como el programa necesario no existe en el computador, el usuario cae en un enlace de un programa que le permite abrir el archivo, el usuario lo baja lo instala y así se queda funcionando con un troyano, gusano o virus. Las mas de las veces el usuario no se molesta en desinstalar el programa, en otros casos, aunque lo haga pueden quedar escorias.
También el usuario puede argumentar que necesita instalar dispositivos: impresoras, discos externos, etc.
Nuevamente el contraargumento es parecido: si el usuario cambia la configuracion del sistema, este podría dañarse.
El usuario administrador quiere "tener el poder" porque se siente capaz de administrar su computador. Claro que en el punto que no pueda quiere tener la posibilidad de llamar al administrador que le resuelva el problema que él causó.
Si el usuario es suficientemente experto para administrar su equipo, entonces no necesita mas ayuda. El administrador que sólo esta para contestar preguntas donde la capacidad administrativa del usuario se termina esta condenado a correr de aqui para alla apagando fuegos.
La administración de IT se fundamenta en un trabajo pro-activo, en la que el administrador crea herramientas para configurar los equipos de manerea automatizada y correcta, normalemente lejos de lo que el usuario final esta acostumbrado a hacer siendo ayudado por asistentes de configuración presentes en los programas.
El usuario debe entender su rol como empleado para tareas definidas que normalmente estan bastante lejos de la administracion de IT. El administrador establece la infrastructura adecuada para que el usuario trabaja de la manera más eficiente y adecuada.
Si el administrador cumple su rol correctamente, es innecesario que el usuario tenga derechos administrativos. El usuario y el administrador no son enemigos sino que estan en una relacion reciproca de servicios y clientes.
principio de seguridad del mínimo privilegio
Aunque la velocidad de reacción para la solución de problemas puede ser la misma para un equipo externo y desconocido por el departamento de IT que para equipos configurados y mantenidos por él, la velocidad de solución de los problemas puede ser drasticamente diferente, puesto que los equipos externos resultan desconocidos, no tienen documentación alguna y además no estan anexados a las herramientas de configuración del departamento.
Secretarias y Jefes con altos privilegios y acceso a datos sensibles ponen además en juego esas informaciones -personbezogenedaten-
Admin o no Admin he ahi el dilema:
Si los usuarios se empeñan en que el único camino es que ellos tengan derechos administrativos, el administrador puede ofrecer un "servicio limitado", para esto es bueno tener una lista de los servicios que engloba el depto. de IT y tachar los que no se pueden ofrecer.
La realización de SLA podría también ser útil. El usuario quiere ayuda pero también quiere instalar su OS, programas y todo lo le alcance su capacidad. Al instalar todo de manera manual por DVS o downloads, el administrador no tiene mucho camino para arreglar problemas que estas instalaciones y malas configuraciones puedan ocacionar.
El departamento de IT puede por ejemplo ofrecer reinstalacion completa del sistema con configuración básica y programas standard para digamos un ejemplo, 3 horas. Si una computadora no pertenece al dpto. un rescate de los datos podría ser necesario, cosa que en algunos casos -como disco duro danado- podría durar hasta días y costar una pequena fortuna.
Asimismo, el departamento de IT puede ofrecer instalacion remota de programas en digamos 10 minutos o menos, mientras que para computadoras no administradas no se ofrece instalación remota -dado que el usuario quiere instalar- y si fuera requerido podría ser necesaria una cita, además de tiempos de traslado y atención.
Otras tareas engorrosas como la configuración de email, podrían realizarse de manera automatizada a traves de servidores de perfiles o GPO pudiendo tardar también sólo algunos minutos, mientras que estas mismas configuraciones para equipos no administrados requieren también citas y traslados.
Quizás lo más recomendable sea hacer listas de los servicios automatizados que ofrece IT cuando la administración es completa y compararla con las posibilidades cuando el usuario quiere hacer el trabajo.
https://www.security-insider.de/mehrheit-der-firmen-gibt-mitarbeitern-adminrechte-a-682765/
viernes, 12 de julio de 2019
viernes, 5 de julio de 2019
FreeBSD - Crear una presentación en modo quiosco
1.- Crear un usuario "show" sin contrasena:
adduser show
2.- Instalar el escritorio Lumina (esta basado en fluxbox pero ya viene con unas cuantas herramientas preinstaladas):
pkg install slim xorg lumina-desktop
3.- Instalar VLC (soporta más formatos y es muy configurable)
4.- configurar el usuario para que se logee automaticamente en
/etc/ttys:
ttyv1 "/usr/libexec/getty show" xterm onifexistt secure
5.- configurar vlc para que arranque en pantalla completa, en círculo, y con videos aleorios:
comando :
vlc -f --loop --random "carpetaconvideos"
6.- buscar en la configuración de Lumina (por menus) la opcion Autostart, poner ahi la aplicación vlc. Esto creará un archivo vlc dentro de la carpeta
~/.config/autostart/vlc.desktop
7.- abrir este archivo y editarlo comentando (o borrando) la linea Exec y agregando la linea:
Exec=/usr/local/bin/vlc -f --loop --random "3D-Hologram"
9.- Agregar las lineas a .profile para que ejecute lumina, y también deslogee al show al salir:
start-lumina-desktop&
exit
10.- disminuir el delay del arranque a tres:
/boot/loader.conf :
autoboot_delay="3"
11.- algunas cosas anexas que siempre pongo a FBSD:
pkg install firefox
pkg install xoterm (el xterm que viene es horrible)
pkg install vim
pkg install zsh (hay que ponerlo como shell standard de c/usuario, por eso mejor instalar antes de crear show-user) tambien se puede hacer con chsh, FBSD no recomienda combiar el shell de root por acceso al sistema de archivos
/usr/local/etc/X11/xinit/xinitrc
adduser show
2.- Instalar el escritorio Lumina (esta basado en fluxbox pero ya viene con unas cuantas herramientas preinstaladas):
pkg install slim xorg lumina-desktop
3.- Instalar VLC (soporta más formatos y es muy configurable)
4.- configurar el usuario para que se logee automaticamente en
/etc/ttys:
ttyv1 "/usr/libexec/getty show" xterm onifexistt secure
5.- configurar vlc para que arranque en pantalla completa, en círculo, y con videos aleorios:
comando :
vlc -f --loop --random "carpetaconvideos"
6.- buscar en la configuración de Lumina (por menus) la opcion Autostart, poner ahi la aplicación vlc. Esto creará un archivo vlc dentro de la carpeta
~/.config/autostart/vlc.desktop
7.- abrir este archivo y editarlo comentando (o borrando) la linea Exec y agregando la linea:
Exec=/usr/local/bin/vlc -f --loop --random "3D-Hologram"
9.- Agregar las lineas a .profile para que ejecute lumina, y también deslogee al show al salir:
start-lumina-desktop&
exit
10.- disminuir el delay del arranque a tres:
/boot/loader.conf :
autoboot_delay="3"
11.- algunas cosas anexas que siempre pongo a FBSD:
pkg install firefox
pkg install xoterm (el xterm que viene es horrible)
pkg install vim
pkg install zsh (hay que ponerlo como shell standard de c/usuario, por eso mejor instalar antes de crear show-user) tambien se puede hacer con chsh, FBSD no recomienda combiar el shell de root por acceso al sistema de archivos
/usr/local/etc/X11/xinit/xinitrc
jueves, 4 de julio de 2019
Fast SSH (resumen) FreeBSD / macOS
Conectar a nuevo cliente(server) desde cliente que ya tiene su par de llaves:
Server:
Client:
Si hay problemas:
por defecto estan y debe estar activadas las siguientes configs:
esta activada ssh? => less /etc/rc.conf ==> ssh_enable="YES"
ssh corre? ==> /etc/rc.d/sshd start/stop/restart
el cliente ya debe tener su llave generada sino hay que hacerlo con ssh-keygen. Comprobarlo es mirar en ~/.ssh
Cambiar el shell standard del que se logea por ssh (remoto es macos):
- me importa porque uso zsh y estandar viene el bash
sudo chpass -s /bin/zsh administrator
Lindo zsh prompt coloreado con directorios, usuario y computername:
en un solo comando (copia y pega)
setopt PROMPT_SUBST
wvb11% PROMPT='%{$(pwd|([[ $EUID == 0 ]] && GREP_COLORS="mt=01;31" grep --color=always /|| GREP_COLORS="mt=01;34" grep --color=always /))%${#PWD}G%} %(!.%F{red}.%F{cyan})%n%f@%F{yellow}%m%f%(!.%F{red}.)%#%f '
https://superuser.com/questions/49092/how-to-format-the-path-in-a-zsh-prompt
ls con colores (por supuesto tambien por ssh)
ls -lhaG
zsh con historial:
zsh a traves de ssh no tiene archivo de configuracion ni historial, para que funcionen transladando los comandos de bash, es necesario lo siguiente:
vim ~/.zshrc
HISTFILE=.zhistory
SAVEHIST=1000
cp ~/.bash_history .zhistory
Simple .zshrc con todo:
vim .zshrc
HISTFILE=.zhistory
SAVEHIST=1000
setopt PROMPT_SUBST
setopt HIST_IGNORE_DUPS
setopt HIST_IGNORE_SPACE
setopt INC_APPEND_HISTORY
PROMPT='%{$(pwd|([[ $EUID == 0 ]] && GREP_COLORS="mt=01;31" grep --color=always /|| GREP_COLORS="mt=01;34" grep --color=always /))%${#PWD}G%} %(!.%F{red}.%F{cyan})%n%f@%F{yellow}%m%f%(!.%F{red}.)%#%f '
alias ls='ls -G'
i
Server:
vi /etc/ssh/sshd_config ==>
PermitRootLogin yes <== IMPORTANTE no sólo descomentar sino cambiar NO por YES !!!:/etc/rc.d/sshd restart
Client:
ssh-copy-id -i ~/.ssh/id_rsa.pub root@10.10.10.10
ssh root@10.10.10.10
Si hay problemas:
por defecto estan y debe estar activadas las siguientes configs:
esta activada ssh? => less /etc/rc.conf ==> ssh_enable="YES"
ssh corre? ==> /etc/rc.d/sshd start/stop/restart
el cliente ya debe tener su llave generada sino hay que hacerlo con ssh-keygen. Comprobarlo es mirar en ~/.ssh
Cambiar el shell standard del que se logea por ssh (remoto es macos):
- me importa porque uso zsh y estandar viene el bash
sudo chpass -s /bin/zsh administrator
Lindo zsh prompt coloreado con directorios, usuario y computername:
en un solo comando (copia y pega)
setopt PROMPT_SUBST
wvb11% PROMPT='%{$(pwd|([[ $EUID == 0 ]] && GREP_COLORS="mt=01;31" grep --color=always /|| GREP_COLORS="mt=01;34" grep --color=always /))%${#PWD}G%} %(!.%F{red}.%F{cyan})%n%f@%F{yellow}%m%f%(!.%F{red}.)%#%f '
https://superuser.com/questions/49092/how-to-format-the-path-in-a-zsh-prompt
ls con colores (por supuesto tambien por ssh)
ls -lhaG
zsh con historial:
zsh a traves de ssh no tiene archivo de configuracion ni historial, para que funcionen transladando los comandos de bash, es necesario lo siguiente:
vim ~/.zshrc
HISTFILE=.zhistory
SAVEHIST=1000
cp ~/.bash_history .zhistory
Simple .zshrc con todo:
vim .zshrc
HISTFILE=.zhistory
SAVEHIST=1000
setopt PROMPT_SUBST
setopt HIST_IGNORE_DUPS
setopt HIST_IGNORE_SPACE
setopt INC_APPEND_HISTORY
PROMPT='%{$(pwd|([[ $EUID == 0 ]] && GREP_COLORS="mt=01;31" grep --color=always /|| GREP_COLORS="mt=01;34" grep --color=always /))%${#PWD}G%} %(!.%F{red}.%F{cyan})%n%f@%F{yellow}%m%f%(!.%F{red}.)%#%f '
alias ls='ls -G'
i
domingo, 3 de febrero de 2019
django
Despues de tener instalados python, pip, django, virtualenv,
creamos una carpeta en ~ como: django-projects entramos en ella con cd y activamos el entorno con:
-- mkdir django-projects
-- cd django-projects
-- source bin/activate
-- pip install django
-- django-admin startproject projecto01
-- cd projecto01
-- tree
-- vim settings.py
---- ALLOWED_HOSTS = ['192.168.10.100'] <--ip del servidor django
-- cd ..
-- python manage.py runserver 192.168.0.241:8000
-- ctrl + c
-- python manage.py migrate
-- python manage.py createsuperuser
para trabajar con pycharm sera util tener una carpeta compartida es bueno tener samba. Para eso hay que ver mi post de samba simple.
creamos una carpeta en ~ como: django-projects entramos en ella con cd y activamos el entorno con:
-- mkdir django-projects
-- cd django-projects
-- source bin/activate
-- pip install django
-- django-admin startproject projecto01
-- cd projecto01
-- tree
-- vim settings.py
---- ALLOWED_HOSTS = ['192.168.10.100'] <--ip del servidor django
-- cd ..
-- python manage.py runserver 192.168.0.241:8000
-- ctrl + c
-- python manage.py migrate
-- python manage.py createsuperuser
para trabajar con pycharm sera util tener una carpeta compartida es bueno tener samba. Para eso hay que ver mi post de samba simple.
sábado, 2 de febrero de 2019
Crea una maquina virtual optimizada para virt-manager
Claro que se puede instalar virt-man con apt, pero hay algunos entornos donde se complica la cosa: virtman no tiene un cliente para windows ni para mac.
Hay un cliente para virt en docker. Lo he bajado e instalado. No me agradó, no funciona muy limpiamente. Tambien hay una formula para instalarlo en mac con brew, pero tambien genera toda suerte de errores, ademas de desconfigurarse con actualizaciones de python. Lo que hasta ahora mejor me ha funcionado y sin falla, ha sido una maquina virtual de linux con virt-manager, pero siempre con problemas de video, con los monitores, los teclados, las ventanas, etc. Como a pesar de estos problemillas ha sido hasta ahora la mejor solucion que he encontrado, me he decidido a encontrar la solucion a los problemillas y crear la solucion (quasi) perfecta.
Esta nueva VM no debe presentar problemas con las aditions o guest-tools, por lo que he desechado parallels y he regresado al buen virtualbox. Me he comprado parallels porque solo este y vmfusion pueden (o podian correr vm de macos). Pero para que corra ubuntu 18 con Guest-tools y asi la resulucion optima, debo comprar la version 13 pues la mia, 11 tiene problemas. Como un software pago no puede lo que uno free sí es una sinverguenzura, pero también harina de otro costal. Ahora que esta vm debe ser liviana, por lo que opte por ubuntu server alternate con openbox y algunas utilidades minimas. Aunque xfce me gusta tambien, openbox me parece aun mas pequeno y liviano.
Como el proposito general de la vm es virt-man, salta la mayoría de las opciones de eleccion, siendo lo unico necesario el login con password y salta de una vez a virtman con todas las vm en el vm-server.
Ademas de todo, he procurado ahorrar los comandos ya conocidos como apt, cosa que cualquiera que esta buscando una solucion asi ya debe saber y me he concentrado en los problemas o cosas poco conocidas.
1. ubuntu server 18.04 alternate con openssh-server (viene en el instalador, se puede instalar despues tambien)
sudo apt update / upgrade
install xinit
install openbox
install nautilus, xterm, firefox, arand, grub-customizer, feh
Hay un cliente para virt en docker. Lo he bajado e instalado. No me agradó, no funciona muy limpiamente. Tambien hay una formula para instalarlo en mac con brew, pero tambien genera toda suerte de errores, ademas de desconfigurarse con actualizaciones de python. Lo que hasta ahora mejor me ha funcionado y sin falla, ha sido una maquina virtual de linux con virt-manager, pero siempre con problemas de video, con los monitores, los teclados, las ventanas, etc. Como a pesar de estos problemillas ha sido hasta ahora la mejor solucion que he encontrado, me he decidido a encontrar la solucion a los problemillas y crear la solucion (quasi) perfecta.
Esta nueva VM no debe presentar problemas con las aditions o guest-tools, por lo que he desechado parallels y he regresado al buen virtualbox. Me he comprado parallels porque solo este y vmfusion pueden (o podian correr vm de macos). Pero para que corra ubuntu 18 con Guest-tools y asi la resulucion optima, debo comprar la version 13 pues la mia, 11 tiene problemas. Como un software pago no puede lo que uno free sí es una sinverguenzura, pero también harina de otro costal. Ahora que esta vm debe ser liviana, por lo que opte por ubuntu server alternate con openbox y algunas utilidades minimas. Aunque xfce me gusta tambien, openbox me parece aun mas pequeno y liviano.
Como el proposito general de la vm es virt-man, salta la mayoría de las opciones de eleccion, siendo lo unico necesario el login con password y salta de una vez a virtman con todas las vm en el vm-server.
Ademas de todo, he procurado ahorrar los comandos ya conocidos como apt, cosa que cualquiera que esta buscando una solucion asi ya debe saber y me he concentrado en los problemas o cosas poco conocidas.
1. ubuntu server 18.04 alternate con openssh-server (viene en el instalador, se puede instalar despues tambien)
sudo apt update / upgrade
install xinit
install openbox
install nautilus, xterm, firefox, arand, grub-customizer, feh
sudo apt-get install virtualbox-guest-additions-iso ---- configurar el menu de openbox:copiar /srv/.../openbox/menu. a ~/.config/openbox/menu.xmlagregar las entradas:virt-manager, terminal blue, nautilus, firefox, openbox conf, arandr, grub-customizer, reboot, shutdown. ---- iniciar openbox al login:~/.bashrc(al final del archivo)if [[ ! $DISPLAY && $XDG_VTNR -eq 1 ]]; then startx fi
--- iniciar grub ohne menu und 30 sec timeoutaqui encontramos muchos tips sobre editar /etc/default/grub y poner en la variable GRUB_TIMEOUT=0 o -1
tambien probé grub-customizer
pero parece que grubd.config reescribe esto y al final lo unico que funciona eseditar manualmente /boot/grub/grub.cfg y cambiar TODAS las variables timeout a 0ADVERTENCIA: se cambiará otra vez con cualquier cambio en grub al ejecutar update-grub --- iniciart app (virt-manager) automaticamente con openboxcrear archivo en:~/.config/openbox/autostart.shy dentro:virt-manager & --- configurar una resolucion optima:monitor principal macbook retina 13 pulgadas 1680 x 1050monitor secundario acer 24 pulgadas 1920 x 1080
vbvm 1440 x 900 (puede estar en ambos monitores) debe ser grande para ver las maquinas virtuales corriendo en pantalla de comandos 1. crear una configuracion y guardarla con arandr 2. ir a ~/.screenlayout$ y hacer la configuración ejecutable con chmod +x conf.sh3. ejecutarla, se puede cambiar la configuracion y ejecutar el script de nuevo dirigir el script a .config/openbox/autostart.sh asi: sh ~/.screenlayout/1440x900.sh --- Poner un fondo de pantalla (hace las ventanas mas visibles)1. instalar feh con apt2. bajarse un fondo de escritorio3. poner en .config/openbox/autostart el comandofeh --bg-fill /pfad/zu/wallpaper.jpg
Suscribirse a:
Entradas (Atom)